Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Deshabilitación de un control en un estándar específico
Puede deshabilitar un control solo en estándares de seguridad específicos, en lugar de en todos los estándares. Si el control se aplica a otros estándares habilitados, AWS Security Hub Cloud Security Posture Management (CSPM) seguirá realizando comprobaciones de seguridad para el control y usted seguirá recibiendo los resultados del control.
Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados a los que se aplica el control. Para obtener información sobre cómo deshabilitar un control en todos los estándares a los que se aplica, consulte. Deshabilitar un control en todos los estándares
En la página de detalles de los estándares, también puede desactivar los controles de un estándar específico. Debe deshabilitar los controles de normas específicas por separado en cada una Cuenta de AWS y Región de AWS. Al deshabilitar un control en normas específicas, solo afecta a la cuenta corriente y a la región.
Elija el método que prefiera y siga estos pasos para deshabilitar un control en uno o más estándares específicos.
- Security Hub CSPM console
-
Deshabilitación de un control en un estándar específico
Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/
-
Elija Estándares de seguridad en el panel de navegación. Seleccione Ver resultados para el estándar correspondiente.
-
Seleccione un control.
-
Seleccione Desactivar el control. Esta opción no aparece en los controles que ya están deshabilitados.
-
Indique el motivo para deshabilitar el control y confirme seleccionando Deshabilitar.
- Security Hub CSPM API
-
Deshabilitación de un control en un estándar específico
-
Ejecute ListSecurityControlDefinitions
y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute DescribeStandards
. Esta API devuelve un control de seguridad independiente del estándar IDs, no un control específico del estándar. IDs
Ejemplo de solicitud:
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0
"
}
-
Ejecute ListStandardsControlAssociations
y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.
Ejemplo de solicitud:
{
"SecurityControlId": "IAM.1
"
}
-
Ejecute BatchUpdateStandardsControlAssociations
. Proporcione el ARN del estándar en el que desea deshabilitar el control.
-
Defina el parámetro AssociationStatus
equivalente a DISABLED
. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.
Ejemplo de solicitud:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1
", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}]
}
- AWS CLI
-
Deshabilitación de un control en un estándar específico
-
Ejecute el comando list-security-control-definitions
y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute describe-standards
. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs
aws securityhub --region us-east-1
list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
"
-
Ejecute el comando list-standards-control-associations
y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.
aws securityhub --region us-east-1
list-standards-control-associations --security-control-id CloudTrail.1
-
Ejecute el comando batch-update-standards-control-associations
. Proporcione el ARN del estándar en el que desea deshabilitar el control.
-
Defina el parámetro AssociationStatus
equivalente a DISABLED
. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.
aws securityhub --region us-east-1
batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1
", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment
"}]'